Mac mini Help! Keylogger et réinstallation

[Titi-118]

Bonjour à tous!
J'ai un gros souci en ce moment avec mon Mac Mini mid-2012 i5, je vais essayer d'être clair:
- mercredi: compte Facebook piraté (tout va bien Facebook à tout bloqué) par une connexion entrante venant soit disant de Corée
- jeudi de la semaine d'après: j'éteins l'ordi pendant 4 jours
- samedi qui suit (4jours plus tard):
- Le matin: appel de la Banque Postal pour fraude au service e.carte bleue, quelqu'un aurait apparemment piraté mes identifiants et fait des achats en ligne (pour rappel, e-CBL est un service proposé par certaine banque basé sur des identifiants personnels afin de créer une carte bleue virtuelle, éphémère, valide pour un seul achat)
- L'après-midi: lancement de mon Mac Mini, le symbole "sens interdit" s'affiche sur la pomme, ça tourne et mets plus de 5min à se lancer (mon système est sur un SSD, j'ai l'habitude d'une 30taine de secondes).


Avec tout cela, j'ai du mal à croire que mon ordinateur soit un bon état... J'ai lancé Avast (par défaut car à la base je n'ai pas d'anti-virus) il m'annonce 4 fichiers infectés avec comme détails:
- MacOS:Spigot-D [Adw] x1
- Other:Malware-gen [Trj] x3


Pouvez vous m'aider à tirer une conclusion de tout cela s'il vous plait?
Est-ce que le problème système (visible avec le "sens interdit") aurait quelque chose à voir avec une éventuelle infection?
Refaire mon ordi à 0 n'est pas un problème, j'ai des sauvegardes Time Machine qui tournent tous les jours, mais dans ce cas, le potentiel virus ne va-t-il pas être simplement migré avec la sauvegarde TM?


Merci d'avance pour votre aide précieuse, j'ai déjà parcouru les différents sujets, mais visiblement les résultats montre qu'il s'agirait d'un keylogger, pourtant Avast me donne Malware et Trojan...
Dites moi ce que vous en pensez,

Merci!!

 

[Average Joe]

Ce n'est pas un virus, cela n'existe pas sous OS X. Si j'étais toi, je balancerais Avast qui est intrusif comme pas possible et, comme tous les antivirus "pour Mac" fait plus de mal que de bien (un Little Snitch serait plus utile). Appelle surtout ta banque pour savoir comment une e-carte bleue a pu être piratée. As-tu une sauvegarde externe par clone ou juste TM ?

 

[Deleted member 1099514]

Salut

Tu peux télécharger Etrecheck : http://www.etrecheck.com et nettoyer les Malwares.

 

[Titi-118]

Merci pour vos réponse!
Dans virus je catégorisait tout ce qui peut être intrusif type trojan, malware, keylogger etc...
J'ai seulement une TM, qu'est-ce qu'un clone changerait?

Je déteste Avast, j'ai lancé ça par défaut juste pour avoir une idée.
Ma banque m'a dit que c'est certainement mon ordi qui a été victime de piratage, mais j'ai eu un conseillé et non le service anti-fraude et j'imagine qu'ils ne diront pas "ah si si c'est notre système qui s'est fait piraté par un jeune de 16ans, votre ordinateur n'a rien". Donc je prend les déclarations du conseillé avec des pincettes...

Je vais essayer ces deux petites app voir ce que ça donne merci

 

[r e m y]

Et change tous tes mots de passe (notamment celui permettant de te connecter sur ton compte bancaire pour y générer des numéros d'e-carte bleue!)
Il n'y a pas de validation en 2 étapes à la Banque Postale pour obtenir un numéro de carte bleue virtuelle (avec réception d'un code par sms ou passage par l'app de la banque sur l'iPhone pour confirmer)?

 

[Titi-118]

Si c'est un keylogger inutile de changer les mots de passe non?
Lorsque je me suis fais piraté mon compte Facebook j'ai déjà tout changé, du moins les plus important, avec des mdp bien solides.

Non la banque postale ne propose pas ce type de service avec e carte bleue. Je me connecte à mon service eCBL avec identifiant + mdp et ensuite je donne le montant que je souhaite et l'appli en ligne me produit une carte virtuelle.
Le service 3D secure agit seulement lorsque c'est le numéro de la CB "physique" qui est entré, et ne fonctionne pas sur tous les sites marchand

 

[r e m y]

Bien sûr il faut commencer par faire le ménage avec antimalware de MalwareBytes ou avec EtreCheck avant de changer les mots de passe (ou faire les changements de mots de passe depuis un autre appareil)

 

[Titi-118]

EtreCheck m'a trouvé un ardware dans mon mac apparement.
Ceci: com.applicationstats.AppStats est-ce que ça vous dit quelque chose?
Dedans un code y est, il contient des chemins relatifs avec encore la mention "Spigot" que j'ai croisé pas mal de fois en faisant tourné Avast

 

[Deleted member 1099514]

Il te propose de le supprimer? Si oui fais-le.

Pour ton mot de passe à la banque postale, je suppose que tu l'as changé, soit depuis un autre matériel, soit depuis un nouvel utilisateur créé sur le Mac

 

[Titi-118]

Mon compte e-carte bleue à la Banque Postale a tout de suite été bloqué. Je vais avoir de nouveaux identifiants d'ici peu.
Oui EtreCheck m'a proposé de le supprimé et je l'ai fait. J'ai relancé et apparemment aucun programme intrusif.
Seul ceci, dois-je m'en inquiéter?




EDIT: Les sites me permettant d'accéder aux app anti-malware tels que MalwareBytes me sont impossibles d'accès "Safari ne parvient pas à ouvrir la page etc..." Même vient 01Télécharger le téléchargement ne se fait pas. Je suis parano ou quelque chose m'empêcher d'accéder à ces sites?

 

[Deleted member 1099514]

MalwareBytes se trouve ici : https://fr.malwarebytes.com/antimalware/mac/

 

[Titi-118]

Après redémarrage de mon ordi voilà que je peux accéder au site... Bizarre...
EDIT: Ce qu'a trouvé Malwarebytes. J'ai fais "remove" mais est-ce que je dois quand même m'inquiéter?

 

[Deleted member 1099514]

Non ça n'a rien de bizarre. Les malwares étaient encore actifs, même supprimés.
Repasse un petit coup d'Etrechek et de MalwareBytes.
Si tout roule tu es tranquille.
Un conseil plus haut à prendre en compte est Little Snitch qui permet de contrôler le trafic sortant internet.
Un peu contraignant à configurer, mais une fois fait c'est un excellent produit.

 

[Titi-118]

Little Snitch est payant non? Ca vaut le coup de chercher une version crack?
La remise à zéro de mon mac n'est pas utile du coup tu penses?

Je reviens sur ma question: si infection/trojan/keylogger il y a, le programme espion se retrouvera-t-il sur mon ordi si je fais une restauration complète TM? (en sachant que ma dernière sauvegarde date d'il y a une heure).
Le sens interdit au démarrage persiste, que faire? Tout semble normal après une multitude de checks (Onyx, CleanMyMac, Utilitaire de Disques). Y aurait il un rapport avec un programme malveillant?

 

[Deleted member 1099514]

La meilleure façon de se récupérer des cochonneries est de chercher des cracks. Little Snitch coûte moins de 30 € et franchement ça vaut son prix.

 

[r e m y]

Oui les cochonneries sont nécessairement sur la sauvegarde.

Le sens interdit au démarrage n'est pas normal (il indique que le disque ne comporte pas de système démarrable) Comment démarrez vous malgré ce sens interdit?

Ou alors, le Mac commence par essayer de démarrer sur un autre disque qui n'est plus accessible puis démarre sur le SSD.
Dans préférences système, Démarrage est-il bien configuré? Re sélectionnez-y votre SSD.

 

[Titi-118]

Ah super.. Et pour "purifier" une sauvegarde, comment je peux m'y prendre?

MERCI! Effectivement, j'ai l'impression que mon Mac hésitait (on ne sait pourquoi...) entre BootCamp et ma partition OSX... Voilà qui est réglé, bon réflex, que j'aurais dû avoir avant de m'affoler...

Pour Little Snitch je suis entrain de l'essayer, ça m'a l'air pas mal ce coté "je contrôle ce qui se passe" mais j'ai peur de refuser l'accès à certaines choses qui sont nécessaires à mon ordi et à ma navigation... Comment repérer quelque chose de vraiment louche? Merci!

 

[Deleted member 1099514]

Ah super.. Et pour "purifier" une sauvegarde, comment je peux m'y prendre?

MERCI! Effectivement, j'ai l'impression que mon Mac hésitait (on ne sait pourquoi...) entre BootCamp et ma partition OSX... Voilà qui est réglé, bon réflex, que j'aurais dû avoir avant de m'affoler...

Pour Little Snitch je suis entrain de l'essayer, ça m'a l'air pas mal ce coté "je contrôle ce qui se passe" mais j'ai peur de refuser l'accès à certaines choses qui sont nécessaires à mon ordi et à ma navigation... Comment repérer quelque chose de vraiment louche? Merci!

Difficile de te répondre ainsi, mais si tu as un programme chelou qui tente d'accéder à un site idoine, ça devrait te parler.
Pour les programmes "classiques" tels que Mail ou Safari, pas trop de risques à priori et on peut leurs laisser l'accès libre.
Sachant qu'il est toujours possible de "revoir sa copie" en passant par l'icône clic gauche puis "Rules"

 

[r e m y]

On peut nettoyer une sauvegarde TM même si c'est un peu long (car manuel)

Il faut avoir la liste des fichiers à supprimer et leur localisation.

Sur le Mac tu ouvres le dossier où se situe le fichier à supprimer (sur le Mac il ne doit plus être présent)
Puis tu fais "Entrer dans TimeMachine"
En remontant à la première sauvegarde avant nettoyage, le fichier en question devrait apparaître.
Le sélectionner puis faire un clic-droit et choisir "supprimer toutes les sauvegardes de..."

Recommencer pour chacun des fichiers à éradiquer.

 

[Titi-118]

Je vois, la bonne vielle méthode. Mais apparemment une "erreur -41" semble m'empêcher de faire ça... J'essaye de bidouiller on verra.
Merci pour votre aide!